一网友说，某主机商禁止了VPS的互联网，因为有异常行为。在top命令下查看，有一个进程占用较多的CPU资源，且强制退出几分钟后又会重新出现。

网上搜索得这篇文章，http://blog.51cto.com/zhuxingye/1735794 ，基本相符。所以实践如下：

1.top 命令，显示有一个 hcvlsajtls 名称的进程，占用了25.2%的CPU

2.crontab -e ，查看任务列表，有一条异常内容，/var/.syslog

3.service --status-all 查看服务列表，有一项和进程同名的异常服务，hcvlsajtls

4./etc/crontab 的内容，每隔三分钟，运行 /etc/cron.hourly/gcc.sh

5./etc/cron.hourly/gcc.sh 的内容，异常文件 /lib/libudev.so

6.rm -f /etc/cron.hourly/gcc.sh && chattr +i /etc/crontab # 删除 /etc/cron.hourly/gcc.sh 文件，且不允许修改 /etc/crontab 文件

7.kill -STOP 5090 # 查找到新异常进程zeckmkmbsr的ID，本例是 5090，用 kill 命令停止它，没有强制退出

8.find / -name '*zeckmkmbsr*' | xargs rm -f # 在整个系统中查找出同名的文件，都删除（好象有点暴力，会不会误删其它文件？）

9.pkill zeckmkmbsr && rm -f /lib/libudev.so # 强制退出异常的进程，且删除异常文件 /lib/libudev.so

10.重启系统后，用top再观察十分钟，没看到10个随机字符的进程了

参考：http://blog.51cto.com/zhuxingye/1735794